McAfee MVISION EDR
Versão da integração: 8.0
Configure a integração do McAfee MVISION EDR no Google Security Operations
Para obter instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte o artigo Configure integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://<address>:<port> | Sim | Raiz da API Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| ID do cliente | String | N/A | Não | ID de cliente da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Segredo do cliente | Palavra-passe | N/A | Não | Segredo do cliente da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativada, verifica se o certificado SSL para a ligação ao servidor da nuvem pública do Trellix EDR é válido. |
Como gerar o ID de cliente e o segredo do cliente
Para mais informações sobre como gerar o ID de cliente e o segredo do cliente, consulte o documento Integrações do McAfee MVISION EDR.
Exemplos de utilização
- Carregar ameaças e deteções do Trellix EDR para as usar na criação de alertas do Google SecOps. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com manuais de procedimentos ou análises manuais.
- Realizar ações de enriquecimento: obter dados do Trellix EDR para enriquecer dados em alertas do Google SecOps.
- Executar ações ativas: colocar um anfitrião em quarentena através do agente do Trellix EDR do Google SecOps.
Ações
Tchim-tchim
Descrição
Teste a conetividade ao Trellix EDR com os parâmetros fornecidos na página de configuração da integração no separador Google Security Operations Marketplace.
Parâmetros
N/A
Exemplos de utilização
A ação é usada para testar a conetividade na página de configuração da integração no separador Google Security Operations Marketplace e pode ser executada como uma ação manual, não usada em manuais de procedimentos.
Executar em
Esta ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Ponto final de enriquecimento
Descrição
Obter as informações do sistema do ponto final pelo respetivo nome do anfitrião ou endereço IP.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
{
"total": 9,
"skipped": 0,
"items": 1,
"hosts": [
{
"maGuid": "3975892D-E16D-45C0-8795-164CFDF27946",
"hostname": "AWS-LT-EDR1",
"os": {
"major": 10,
"minor": 0,
"build": 18362,
"sp": "",
"desc": "Windows 10"
},
"lastBootTime": "2020-02-24T21:41:38Z",
"netInterfaces": [
{
"name": "Ethernet 2",
"macAddress": "02:33:86:c2:6b:d4",
"ip": "10.0.3.212",
"type": 6
}
],
"traceExtendedVisibility": 0
}
]
}
Enriquecimento de entidades
| Nome do campo de enriquecimento | Origem (chave JSON) | Lógica: quando aplicar |
|---|---|---|
| MMV_EDR_maGuid | hosts/maGuid | Quando estiver disponível em JSON |
| MMV_EDR_hostname | hosts/hostname | Quando estiver disponível em JSON |
| MMV_EDR_OS | hosts/os/desc | Quando estiver disponível em JSON |
| MMV_EDR_lastBootTime | hosts/lastBootTime | Quando estiver disponível em JSON |
| MMV_EDR_certainty | hosts/certainty | Quando estiver disponível em JSON |
| MMV_EDR_ips | Resultados separados por espaços/net_interfaces/ip | Quando estiver disponível em JSON |
Estatísticas
N/A
Ponto final de quarentena
Descrição
Crie uma tarefa de ponto final de quarentena no servidor do Trellix EDR com base nas entidades de nome de anfitrião ou endereço IP do Google SecOps.
Problema conhecido da Trellix
Referência: Problemas conhecidos do Trellix EDR
Quando coloca em quarentena um ponto final ligado a uma VPN, o ponto final torna-se inacessível. Não pode enviar a reação para terminar a quarentena.
Solução alternativa:
- Obter acesso físico ao ponto final.
- Desinstale o cliente EDR em Adicionar ou remover programas.
- Instale novamente o cliente EDR.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Ponto final de remoção da quarentena
Descrição
Crie uma tarefa de remoção da quarentena do ponto final no servidor do McAfee MVISION EDR com base nas entidades de endereço IP ou nome de anfitrião do Google SecOps.
Problema conhecido da Trellix
Referência: Problemas conhecidos do Trellix EDR
Quando coloca em quarentena um ponto final ligado a uma VPN, o ponto final torna-se inacessível. Não pode enviar a reação para terminar a quarentena.
Solução alternativa:
- Obter acesso físico ao ponto final.
- Desinstale o cliente EDR em Adicionar ou remover programas.
- Instale novamente o cliente EDR.
Parâmetros
N/A
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Remover ficheiro
Descrição
Remova um ficheiro do ponto final.
Problema conhecido de execução da ação
O McAfee pode não remover ficheiros e continuar a mostrar na IU Web que a ação foi executada com êxito. O seguinte problema pode estar relacionado com as autorizações do agente. Verifique se o agente tem as autorizações necessárias e tente novamente.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Caminho completo do ficheiro | String | N/A | Sim | Especifique o caminho completo para o ficheiro que quer remover. |
| Remoção segura | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, ignora ficheiros que podem ser críticos ou fidedignos. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Pare e remova conteúdo
Descrição
Parar o processo do intérprete por PID, por exemplo, Python ou Bash, e remover o script associado pelo caminho completo no McAfee MVISION EDR.
Problema conhecido de execução da ação
O McAfee pode não remover nem terminar os ficheiros associados e continuar a mostrar na IU Web que a ação foi executada com êxito. O problema seguinte pode estar relacionado com as autorizações no agente. Verifique se o agente tem as autorizações necessárias e tente novamente.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| PID | Número inteiro | N/A | Sim | Especifique o PID do intérprete. |
| Caminho completo do ficheiro | String | N/A | Sim | Especifique o caminho completo para o ficheiro que quer remover. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Terminar processo
Descrição
Parar um processo em execução e remover o respetivo ficheiro. Se o processo não estiver em execução, o ficheiro é apenas removido do ponto final gerido.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Tipo de identificador de processo | LDD | PID Valores possíveis:
|
Sim | Especifique o tipo de identificador de processo a usar. |
| Identificador do processo | String | N/A | Sim | Especifique o valor do identificador do processo. |
Executar em
Esta ação é executada nas seguintes entidades:
- Endereço IP
- Nome do anfitrião
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Ignorar ameaça
Descrição
Rejeite a ameaça no Trellix EDR.
Parâmetros
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| ID da ameaça | String | N/A | Sim | Especifique o ID da ameaça que quer ignorar. |
Executar em
Esta ação não é executada em entidades.
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valores | Exemplo |
|---|---|---|
| is_success | Verdadeiro/Falso | is_success:False |
Resultado JSON
N/A
Enriquecimento de entidades
N/A
Estatísticas
N/A
Conetores
McAfee MVISION EDR - Threats Connector
Descrição
As ameaças do Trellix EDR podem ser atualizadas com novas deteções ao longo do tempo. Neste momento, para processar novas deteções, tem de ignorar a ameaça. Desta forma, o Trellix EDR cria uma nova ameaça e esta é carregada para o Google SecOps com essas novas deteções. Noutros casos, as novas deteções adicionadas após a ingestão da ameaça não estão disponíveis no Google SecOps.
Configure o conetor de ameaças do McAfee MVISION EDR no Google SecOps
Para ver instruções detalhadas sobre como configurar um conetor no Google SecOps, consulte o artigo Configurar o conetor.
Parâmetros do conetor
Use os seguintes parâmetros para configurar o conector:
| Nome a apresentar do parâmetro | Tipo | Valor predefinido | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Introduza o nome do campo de origem para obter o nome do campo do produto. |
| Nome do campo de evento | String | eventType | Sim | Introduza o nome do campo de origem para obter o nome do campo do evento. |
Nome do campo do ambiente |
String | "" | Não | Descreve o nome do campo onde o nome do ambiente está armazenado. Se o campo do ambiente não for encontrado, o ambiente é o ambiente predefinido. |
Padrão de expressão regular do ambiente |
String | .* | Não | Um padrão de regex a executar no valor encontrado no campo "Nome do campo do ambiente". A predefinição é .* para captar tudo e devolver o valor inalterado. Usado para permitir que o utilizador manipule o campo do ambiente através da lógica de regex. Se o padrão regex for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
| Limite de tempo do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://x.x.x.x | Sim | Raiz da API do servidor Trellix EDR. |
| Nome de utilizador | String | N/A | Sim | Nome de utilizador da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Palavra-passe | Palavra-passe | N/A | Sim | Palavra-passe da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| ID do cliente | String | N/A | Não | ID de cliente da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Segredo do cliente | Palavra-passe | N/A | Não | Segredo do cliente da conta do Trellix EDR. Nota: indique os parâmetros Client-ID e segredo do cliente ou nome de utilizador e palavra-passe. Se ambos os parâmetros forem fornecidos, a integração usa os parâmetros ID do cliente e Segredo do cliente para autenticação. |
| Gravidade mais baixa a obter | String | Médio | Sim | A gravidade mais baixa que vai ser usada para obter ameaças. Valores possíveis: Médio Alto Crítico |
| Fetch Max Hours Backwards | Número inteiro | 1 | Não | Número de horas a partir das quais devem ser obtidas ameaças. |
| Max Threats To Fetch | Número inteiro | 25 | Não | O número de ameaças a processar por iteração de conetor. |
| Use a lista de autorizações como uma lista negra | Caixa de verificação | Desmarcado | Sim | Se estiver ativada, a lista de autorizações é usada como uma lista negra. |
| Validar SSL | Caixa de verificação | Marcado | Sim | Se estiver ativado, valide se o certificado SSL para a ligação ao servidor da nuvem pública do Trellix EDR é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a usar. |
| Nome de utilizador do proxy | String | N/A | Não | O nome de utilizador do proxy para autenticação. |
| Palavra-passe do proxy | Palavra-passe | N/A | Não | A palavra-passe do proxy para autenticação. |
Regras do conetor
Suporte de proxy
O conetor suporta proxy.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.